Díky tomuto rozhovoru zjistíte, co představuje nejčastější hrozby, jak poznáte, že jste napadeni, a co v takovém případě dělat. Pokud v odpovědích pouze tápete či váháte, dejte na rady odborníka. Na následujících řádcích se také dozvíte o příležitosti, jak spolupracovat se společností Trend Micro, která své produkty dodává koncovým zákazníkům pouze prostřednictvím vlastní partnerské sítě. Co vás tedy zajímá?

Co dnes v kybernetickém prostoru představuje nejčastější bezpečnostní hrozby?

Dnešní hrozby začínají být stále častěji cílené, a to ať už na segmenty jako bankovnictví či výroba, nebo někdy i na konkrétní firmy. To už ale musí zákazník stát za to. Útočníci se zaměřují také na segmenty jako utility, kde se používají SCADA produkty, u nichž je velmi omezená možnost ochrany, a většinou tak nejsou dostatečně chráněny. Nejčastějším způsobem, jak hackeři pronikají bezpečnostními opatřeními, jsou i nadále e-maily, ale také prostřednictvím bannerů na často navštěvovaných webech. Ransomware se tak aktivuje pouze v případě, že na banner klikne například zaměstnanec libovolné finanční instituce. Hodně často se poslední dobou setkáváme i s business e-mail compromise (BEC) – dokonce už i v České republice se objevil případ, kdy účetní poslala peníze na účet neexistující firmy, protože dostala e-mail od svého nadřízeného. BEC lze podchytit spíše správným nastavením firemních procesů než bezpečnostním softwarem, ale i tak této hrozbě dokážeme čelit. Trend Micro má ve svém portfoliu software, který dokáže rozpoznat, zda daný e-mail opravdu napsala osoba, od níž zpráva přišla. Jednoduše ji porovná se vzorkem předchozích zpráv a podle použitého jazyka zjistí, zda tomu tak je, či nikoliv. Tento software se ze staré komunikace naučí, které používá daná osoba znaky, slova, styl písma, zda pravidelně píše interpunkci, a dokáže říct, s jakou pravděpodobností jde o nepravý e-mail. Primárně prozatím funguje v angličtině, protože jde o nejrozšířenější jazyk, ale měly by se časem doplňovat i další jazykové mutace.

Čím se od sebe jednotlivé typy útoků liší?

Hackeři se většinou snaží dostat do firemní sítě a prostřednictvím phishingu získat nějaká práva v síti, případně do sítě propašovat ransomware, který z počítačů k těmto útokům náchylnějších uživatelů jako například vrcholných manažerů nebo asistentů dokáže data buďto ukrást a pak je zpeněžit prodejem či vyhrožováním, nebo data v síti zašifruje a požaduje za ně výkupné. Typicky jde o případy, kdy se hackeři snaží jakýmkoli způsobem obohatit, pouze zřídka přijdeme do styku s útoky, které pouze zlomyslně naformátují disky, přestože by z toho útočník ve výsledku vůbec nic neměl. Další typ útoku představují minery, které se usadí ve firemní infrastruktuře, neškodí v otázce dat, ale vytěžují výkon těchto strojů pro těžbu kryptoměn.

Na co se útoky zaměřují? Jde spíše o firmy, nebo hledají slabiny ve formě jednotlivých zaměstnanců?

Na našem lokálním trhu se tyto útoky zaměřují především na konkrétní segmenty. Ideální cíl tak představují obecně jakékoli finanční instituce. Samozřejmě se na světě vyskytují i útoky za měřené na konkrétní společnosti, a to prostřednictvím social engineeringu. V okamžiku, kdy byly například zveřejněny přihlašovací údaje ze serveru Mall.cz, pak dokáže hacker prostřednictvím sociálních sítí zjistit spoustu informací, které mu přinejmenším napovědí, zda někdo pracuje v bankovním sektoru, jak by mohla vypadat jeho e-mailová adresa, a ze zakoupené databáze pak odvodí i heslo, protože většina lidí ve svých heslech pouze mění čísla či speciální znak. Pak už je pouze otázka času, než se hacker dostane k údajům, jako jsou typy firewallů, antivirů apod. V Česku se zatím moc s cílenými útoky nesetkáváme, ale určitě si vzpomenete na útoky na Ministerstvo obrany, vnitra ČR apod. V těchto případech nicméně nešlo o klasické, ale naopak politicky motivované hackery.

Jak firma pozná, že je napadena?

S nástroji, které firmy mají, většinou těžko. Dost často to poznají až v okamžiku, kdy mají zašifrovanou podstatnou část, ne-li všechna data. Pokud mají nějaké forenzní nástroje, jako je z našeho portfolia Deep Discovery Inspector, tedy breach detection sonda, lze zavčasu zjistit, že ve firemní síti probíhají nestandardní přesuny dat nebo že se někdo snaží přihlásit někam, kam nemá přístup, apod. Tyto forenzní nástroje pak zkušenému správci sdělí, že je v síti pravděpodobně ransomware. To je věc, která by neměla firmu až tak rozhodit, protože se infikovaná stanice pouze přeinstaluje a může fungovat dál. Daleko horší je případ, kdy se někdo pohybuje po firemní síti a usiluje o přístup k databázím nebo exfiltraci dat. Pokud má firma nástroje pro forenzní analýzy a senzory, které logují všechno, co se na počítači stane od změn nastavení až po instalaci nových programů, dokáže pak případný incident vyšetřit – zjistí podezřelý soubor, jeho umístění a aktivity napříč sítí. Poté lze s jistotou říct, zda jde o útok, nebo ne. Dnešní firmy, které jsou zpravidla vybaveny pouze antimalwarem, firewallem a v lepších případech i SIEMem, však nemohou k podobným analýzám v přibližně stejném termínu (pokud vůbec) dojít. Měly by si tedy pořídit chytrá řešení schopná kontrolovat aktivitu na síti a logy, které umožní vše vyšetřit.

Bez těchto nástrojů jsou v podstatě „v pytli“. Jakoukoli větší exfiltraci dat by měl zachytit SIEM. Firmy by měly mít také nástroje jako DLP (Data Loss Protection), které by měly ohlídat dokumenty na koncových zařízeních. Firmy, které tyto nástroje nemají, většinou přijdou na únik dat až ve chvíli, kdy se stal průšvih a někdo je buď začne vydírat, nebo zveřejní (prodá) jejich data. Nebo se může stát, že si nějakého podezřelého pohybu na síti všimne administrátor, což by byla spíše náhoda.

Co jsou typické postupy v případě napadení? Které kroky by měly firmy podniknout jako první?

Jako první by ve firmě měli zjistit, co se vlastně děje, a zde opět bez forenzních nástrojů nejde zjistit přesný rozsah útoku. Firmy tedy pouze vezmou konkrétní počítač, o němž vědí, že je napadený, ten odpojí od sítě, přeinstalují a vrátí ho opět do provozu. Ale nevědí, jestli se malware nerozšířil někam jinam, a nevědí, jestli už nedošlo k exfiltraci dat. Tyhle firmy se pak mohou pouze modlit, aby k něčemu takovému nedošlo a aby vše podchytily včas. Bez toho, aby firma ukládala logy o aktivitě na síti, a bez softwaru pro korelaci údajů má malou šanci únikům dat zabránit.

Jak můžete s ochranou proti kybernetickým útokům pomoci?

Trend Micro má v portfoliu spoustu nástrojů, které ukládají logy, ať už jde o endpoint senzory, nebo již zmíněný Deep Discovery Inspector. Důležité je také zajištění komunikace napříč jednotlivými nástroji. Samozřejmá je pak komunikace pod značkou Trend Micro, ale naše nástroje komunikují i se systémy a zařízeními jiných výrobců. Když tedy zjistíme podezřelou aktivitu na síti, upozorníme firewall, aby ji blokoval. V okamžiku, kdy neexistuje vzájemné propojení ochranných prvků a jeden výrobce je na firewallu, druhý na webové bráně, třetí na e-mailové bráně,

jiný je na serverech a jiný zase na koncových zařízeních, pak přichází problém. Zákazník totiž zpravidla nemá sílu vše aktualizovat, takže spolu produkty nekomunikují, data nelze korelovat a jediné, co vše může porovnat, je SIEM, ale to pouze v případě, že je správně nastavený a ve firmě je někdo, kdo se v něm vyzná, což je dnes problém.

V tomto ohledu je nejlepší mít zajištěnu komunikaci mezi jednotlivými řešeními, aby nastala jistá míra automatizace. Díky tomu pak budou moci všechna zařízení v síti blokovat podezřelý software či komunikaci. Můžeme tedy firmám nabídnout nástroje sloužící nejen k ochraně, ale i k forenzní analýze k vyšetřování bezpečnostních incidentů. Zde jde především o enterprise zákazníky. Nicméně i menším firmám můžeme nabídnout centralizovanou ochranu, která mezi sebou komunikuje.

Co můžete udělat pro již napadené společnosti? Máte nějaké nástroje, s nimiž byste mohli zachránit jejich data?

Když už je zákazník napadený, pak mu může pomoci náš Incident Response Team. Pokud se mně nebo Robinu Bayovi ozve náš registrovaný partner či sám napadený enterprise zákazník, my situaci zvážíme, předáme svému technickému oddělení, případně někomu ze svého výzkumného týmu tady v Praze, a když zjistíme, že je zákazník opravdu napadený, můžeme požádat o pomoc svůj Incident Response Team. Ten nejprve proskenuje síť zákazníka breach detection sondou. Pokud jde o velký problém, pak i za zákazníkem fyzicky dorazí, pomůže mu zjistit rozsah škod a sdělí mu i to, jak vůbec incident vznikl. Pokud to tedy vůbec lze. Známější ransomware dokonce dokážeme i rozšifrovat, takže v některých případech můžeme i zachránit zašifrovaná data. A nakonec systém vrátíme do stavu, kdy je opět funkční. Tato služba je přitom momentálně zcela zdarma. Výjezd týmu je podmíněn pouze velikostí společnosti a rozsahem škod, nikoli příslibem pořízení našich řešení. Nicméně i tak si zákazníci většinou naše řešení pořídí.

Které typy produktů Trend Micro nabízí?

Naše produkty jsou rozděleny do čtyř rodin. Jednu tvoří řešení pro síťovou bezpečnost, kam spadají řešení jako IPS – Tipping Point, již zmíněný Deep Discovery Inspector, sandbox, který sice máme i v cloudu, ale u velkých zákazníků je vhodnější hardwarová varianta, protože jej lze přizpůsobit individuálním potřebám. Díky tomu odhalíme výrazně více druhů ransomwaru než ve virtuálních serverech, které jsou v klasických sandboxech. Firmy zde mohou mít Windows XP, 7, 10, ale i Windows Server 2008 a další. Když se pak správci nezdá nějaký soubor, který nic neodchytilo, můžeme jej do sandboxu manuálně nahrát, díky čemuž se také proskenuje. Pak se do této rodiny řadí i mailová brána, která sandbox také obsahuje.

Další rodinu představují produkty zajišťující ochranu cloudových prostředí, konkrétně cloudových aplikací v nejrůznějších prostředích od Microsoftu a VMwaru až po Amazon. Naše služby na Amazonu se prodávají přímo na jeho cloudu. Důležité ale je, že ani tak naši partneři nepřijdou o svou provizi. Stačí, když mi dopředu oznámí, že projekt, který připravují, bude v cloudu na Amazonu. Z obchodu, který probíhá přímo mezi zákazníkem a Amazonem, pak partner dostane určitou marži. Samozřejmě zde máme řešení pro ochranu softwaru Kubernetes, Docker a všech nových technologií, ale nezapomínáme ani na Office 365.

Třetí rodinu tvoří ochrana koncových zařízení, mailů, webových bran a podobně. Tyto produkty se prodávají v nejrůznějších bundlech. Ten největší se nazývá Smart Protection Complete a zahrnuje komplexní ochranu od koncových zařízení po ochranu serverů a úložišť, DLP a webové a mailové brány. Vše je pak soustředěno do řešení Apex One Central.

Čtvrtá rodina se pak zaměřuje na software SCADA a donedávna méně používaná řešení. Pomalu sem začínají přibývat produkty pro zabezpečení IoT. Ve SCADě se nacházejí produkty jako Tipping Point Threat Protection System, navíc tam máme ještě nějaká další řešení jako například USB, které nic neinstaluje, protože do SCADy nic instalovat nelze, ale po zapojení a USB vše proskenuje a zjistí, zda je zařízení v pořádku. V poslední době usilovně pracujeme na rozšíření této rodiny o produkty zabezpečující IoT. Zatím se vyvíjejí „krabičky“ pro domácnosti sloužící k ochraně IoT a pomalu připravujeme i řešení pro poskytovatele služeb, aby dokázali chránit i zařízení, která se nacházejí u jejich zákazníků. Tohle se v Evropě prozatím pouze testuje, nicméně v Asii už tento projekt funguje.

Nabízíte kromě těchto čtyř rodin produktů i nějaké další služby? Zohledňujete i současnou absenci zkušených lidí na trhu práce?

Produkty jako Apex One nebo Deep Discovery Inspector dokážu zapojit a při troše snažení je do hodiny rozchodím, ale s těmito typy produktů musí pracovat někdo, kdo tomu opravdu rozumí. Společnost Trend Micro se proto rozhodla prodávat službu, kdy někdo z našeho výzkumného týmu sleduje logy našich zákazníků, tedy sleduje pohyby na síti a obecně i činnosti uživatelů, a to bez přístupu k jakýmkoli jiným údajům. Když najde nějaké potenciální hrozby, varuje v pravidelných reportech zákazníka a sdělí mu i své doporučení, co by měl dělat.

Nabízíte kromě těchto čtyř rodin produktů i nějaké další služby? Zohledňujete i současnou absenci zkušených lidí na trhu práce?

Produkty jako Apex One nebo Deep Discovery Inspector dokážu zapojit a při troše snažení je do hodiny rozchodím, ale s těmito typy produktů musí pracovat někdo, kdo tomu opravdu rozumí. Společnost Trend Micro se proto rozhodla prodávat službu, kdy někdo z našeho výzkumného týmu sleduje logy našich zákazníků, tedy sleduje pohyby na síti a obecně i činnosti uživatelů, a to bez přístupu k jakýmkoli jiným údajům. Když najde nějaké potenciální hrozby, varuje v pravidelných reportech zákazníka a sdělí mu i své doporučení, co by měl dělat.

Jde tedy o službu, která zajišťuje jejich bezpečnost podobně jako SOC?

Security Operation Center (SOC) zpravidla provozují naši partneři a Trend Micro se jim do toho nechce nijak vměšovat. Nicméně vzhledem k tomu, jak velký je momentálně nedostatek lidí specializovaných na IT bezpečnost, jsme se rozhodli, že do budoucna své služby ještě rozšíříme. Nepůjde sice úplně o SOC, ale zákazníci časem dospějí k závěru, že potřebují služby jak naše jako výrobců, tak i našich partnerů. Stále více rozšiřujeme tyto služby, které v podstatě nabízejí správu firemního zabezpečení.

Na co by se měli do budoucna partneři zaměřit?

Partneři si musejí uvědomit, že cloud není sprosté slovo a že je to jediná cesta, jak mohou přežít. Pokud nezačnou investovat do vzdělání a do cesty ke cloudu, pak dříve nebo později jednoduše skončí. Zákazníci se stále častěji přiklánějí ke cloudu, protože to je pro ně jednoduše výhodnější. Příkladem může být systém Office 365, který je levnější než „krabicová“ verze. Navíc nároky na hardware stále rostou. I v případě, kdy pomineme pořizovací cenu, musíme zajistit náklady na provoz, klimatizaci, umístění, racky a správce. A lidi dnes prostě nejsou… Je třeba si uvědomit, že počítače jsou všude kolem nás a bude to „horší“. Je tedy zapotřebí investovat do ochrany cloudu a IoT, protože ty představují budoucnost.

Zdroj: Jakub Špaček, DCD Publishing